Jak opracować instrukcję postępowania na wypadek naruszenia ochrony danych osobowych

Autor: Piotr Glen
Ogólne rozporządzenie o ochronie danych (RODO) wprowadza obowiązek zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu (w Polsce ma być to Prezes Urzędu Ochrony Danych Osobowych). Sprawdź, jak może wyglądać instrukcja postępowania w przypadku naruszenia ochrony danych osobowych.
Jeżeli naruszenie ochrony danych osobowych może skutkować ryzykiem naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu. Do zgłoszenia, które przekazuje się organowi nadzorczemu po upływie 72 godzin, administrator będzie musiał dołączyć wyjaśnienie przyczyn opóźnienia (art. 33 ogólnego rozporządzenia o ochronie danych). W określonych sytuacjach o takim naruszeniu administrator będzie musiał powiadomić również osobę, której dane zostały naruszone – gdy ryzyko naruszenia jej praw i wolności jest wysokie. Natomiast podmiot przetwarzający musi niezwłocznie informować administratora o wszelkich naruszeniach ochrony danych osobowych. Trzeba przygotować się do realizacji tych obowiązków. W tym celu warto opracować instrukcję postępowania w przypadku naruszenia ochrony danych osobowych.

Skrócona instrukcja postępowania w przypadku naruszenia ochrony danych osobowych

Użytkownik jest zobowiązany powiadomić inspektora ochrony danych (lub inną osobę zajmującą się kwestiami ochrony danych, jeżeli inspektor ochrony danych nie został wyznaczony), jeśli stwierdzi, że doszło do naruszenia ochrony danych osobowych lub będzie miał podejrzenie, że mogło dojść do takiego zdarzenia.

Typowe sytuacje, o których użytkownik powinien powiadomić inspektora ochrony danych:

  1. ślady na drzwiach, oknach i szafach wskazują na próbę włamania,
  2. zniszczenie dokumentacji zawierającej dane osobowe bez użycia niszczarki,
  3. fizyczna obecność w budynku lub pomieszczeniach osób zachowujących się podejrzanie,
  4. otwarte drzwi do pomieszczeń, szaf, w których przechowywane są dane osobowe,
  5. ustawienie monitorów pozwalające na wgląd osób postronnych w dane osobowe,
  6. wynoszenie danych osobowych w wersji papierowej i elektronicznej na zewnątrz firmy bez upoważnienia inspektora ochrony danych,
  7. udostępnienie danych osobowych osobom nieupoważnionym w formie papierowej, elektronicznej i ustnej,
  8. telefoniczne próby wyłudzenia danych osobowych,
  9. kradzież komputerów lub CD, twardych dysków, pendrive’a z danymi osobowymi,
  10. e-maile zachęcające do ujawnienia identyfikatora i/lub hasła,
  11. pojawienie się wirusa komputerowego lub niestandardowe zachowanie komputerów,
  12. przechowywanie haseł do systemów w pobliżu komputera.


Piotr Glen

Zaloguj się, aby dodać komentarz

Nie masz konta? Zarejestruj się »

Zobacz także

Skuteczne narzędzia do wykrywania uszkodzonych podzespołów

pobierz

Wykrywanie i usuwanie niechcianych programów

pobierz

Polecane artykuły

Współadministrowanie danymi – jak uregulować tę kwestię w dokumentacji

Współadministrowanie danymi – jak uregulować tę kwestię w dokumentacji »
W jaki sposób zawiadomić o wyznaczeniu IOD

W jaki sposób zawiadomić o wyznaczeniu IOD »
Zewnętrzny IOD – podpisać umowę powierzenia czy nadać upoważnienie?

Zewnętrzny IOD – podpisać umowę powierzenia czy nadać upoważnienie? »
Array ( [docId] => 50029 )

Array ( [docId] => 50029 )
Array ( [docId] => 50029 )